12月22日晚，快手多個直播間同時出現(xiàn)涉黃、血腥等違規(guī)內(nèi)容。此后有消息稱，相關(guān)異常直播賬號多達(dá)1.7萬個，攻擊持續(xù)了60～90分鐘——目前這個數(shù)據(jù)沒有被證實，也尚未被辟謠。

而當(dāng)晚，快手發(fā)公告回應(yīng)：22時左右，平臺遭到黑灰產(chǎn)攻擊，已緊急處理修復(fù)中，并已報警。

用戶截圖顯示出平臺應(yīng)對攻擊的痕跡，當(dāng)晚，快手直播功能一度停擺，全線停播。

直播功能一度停擺

天亮后，快手再發(fā)公告：經(jīng)全力處置與系統(tǒng)修復(fù)，快手應(yīng)用的直播功能已逐步恢復(fù)正常服務(wù)，其他服務(wù)未受影響。

這是一次罕見且張揚的網(wǎng)絡(luò)攻擊。不只因為被破防的是頭部互聯(lián)網(wǎng)大廠，更因為“直播”歷來是安全等級最高的、風(fēng)控最嚴(yán)密的核心業(yè)務(wù)，而如此大規(guī)模、集中針對直播的攻擊此前幾乎沒有先例。

在南風(fēng)窗發(fā)去詢問之后，快手方面沒有透露多于公告的事故細(xì)節(jié)。平臺的實名制、內(nèi)容審核機(jī)制等一系列常規(guī)防線是怎樣被突破的，攻擊者的動機(jī)是什么，尚未有明確答案。

基于有限的信息，我們采訪了多位網(wǎng)絡(luò)安全工作從業(yè)者，試圖理解這場“直播事故”背后的攻防邏輯。

這起事件并不是吃瓜的獵奇事件，或平臺翻車的又一談資，它把隱秘而嚴(yán)肅的“網(wǎng)絡(luò)攻防戰(zhàn)”推到了臺前——它真實影響著平臺秩序、用戶體驗與公眾利益。

實名制、審核機(jī)制，何以失守

直播是平臺的核心業(yè)務(wù)之一，也是風(fēng)控等級最高的內(nèi)容形態(tài)。按照常規(guī)流程，“網(wǎng)絡(luò)主播實名制”要求，用戶要開播，必須通過實名制認(rèn)證；內(nèi)容被推薦和展示之前，還需經(jīng)過內(nèi)容審核系統(tǒng)判定風(fēng)險。

那么，大量明顯違規(guī)的直播，是如何繞過這些防線，順利開播并出現(xiàn)在用戶眼前的？

吳崖斌在一家網(wǎng)絡(luò)安全公司擔(dān)任顧問，為黨政機(jī)關(guān)提供網(wǎng)絡(luò)安全咨詢服務(wù)。在他看來，同時出現(xiàn)上萬個賬號去參與涉黃，且內(nèi)容基本上都是提前錄制好的，攻擊大概率并非臨時起意。

要實現(xiàn)這一點，攻擊者首先需要掌握大量可用賬號。“你至少得有1.7萬個手機(jī)號和個人身份信息，才能在短時間內(nèi)發(fā)起直播?！眳茄卤笳f。

在地下黑灰產(chǎn)鏈條中，圍繞“實名認(rèn)證”的產(chǎn)業(yè)并不稀奇。攻擊者并不需要直接破解平臺系統(tǒng)，而是通過“接碼平臺+貓池”的方式，繞過實名認(rèn)證流程。

圖源：pexel

所謂“接碼平臺”，是專門用于接收短信驗證碼的中介；而“貓池”，則是由卡商集中管理的大量SIM卡設(shè)備，這些卡可能來自非正規(guī)渠道，甚至部分并未與真實使用者建立清晰綁定?？ㄉ潭诜e大量手機(jī)號碼，提前上傳身份證、銀行卡號，按平臺流程注冊養(yǎng)號，攻擊者只要付費，就能獲得這些賬號。

“一個賬號成本幾毛錢到幾塊錢不等?！眳茄卤笳f。

從平臺角度看，手機(jī)號碼在運營商處已完成實名登記，平臺通過動態(tài)的短信驗證碼與運營商建立信任關(guān)系——驗證碼正確，就默認(rèn)通過了實名認(rèn)證，判定這是“真實的一個人”。

“平臺不是公安系統(tǒng)，它只能驗證‘這個號碼是可用的’，開放直播權(quán)限?！眳茄卤笳f，但手機(jī)號究竟是正常用戶、不知情的信息被盜者，還是被批量操控的黑卡或虛擬號碼，卻不容易區(qū)分。

繞過實名制，第二道防線便是內(nèi)容審核。

2025年9月，快手安全算法中心負(fù)責(zé)人劉夢怡在公開演講中分享快手安全大模型技術(shù)，對海量內(nèi)容審核已經(jīng)從“人力標(biāo)注”轉(zhuǎn)向“自動化標(biāo)注+人工輔助校驗”，效率和覆蓋面都有顯著提升，只需要少量的人工介入。

《駭客交鋒》劇照

但在這次事件中，這套機(jī)制卻未能及時阻斷違規(guī)內(nèi)容。

吳崖斌推斷，這可能并非單點失效，而是“系統(tǒng)性超載”。

快手遭受攻擊的夜間22時，是直播高峰期，也是人手薄弱的時間段。

但對用戶量過億的快手來說，1.7萬個賬號同時開播違規(guī)內(nèi)容，是否足以突破審核的極限？

吳崖斌告訴南風(fēng)窗，和圖文審核不同，直播審核是一項實時、大流量、高負(fù)荷的任務(wù)：視頻流量遠(yuǎn)高于圖文內(nèi)容，每一秒都包含圖像、語音、文本等多重信息，需要實時抽幀、識別、分析。“對機(jī)器來說，負(fù)荷是不一樣的。短時間內(nèi)涌入大量的直播用戶，那么多疑似違規(guī)的直播，AI也需要時間的，也是有上限的?！?/p>

與此同時，人工審核同樣面臨極限。面對成千上萬路直播流，有限的人工審核員也無法在極短時間內(nèi)逐一處置?！白詈罂赡芫褪窍到y(tǒng)忙不過來，人也忙不過來?！眳茄卤笳f。

網(wǎng)絡(luò)流傳出的工作人員聊天記錄

審核面對大量超負(fù)荷的待處理信息，為什么不是積壓內(nèi)容而是直接流出？

吳崖斌解釋，如果排除黑客直接攻擊內(nèi)容審核系統(tǒng)的可能性，或者內(nèi)鬼篡改了大模型判定風(fēng)險的閾值等情況，這和“可用性”與“安全性”的優(yōu)先順序有關(guān)。

對平臺而言，首要目標(biāo)是保證業(yè)務(wù)正常運行不中斷，畢竟平臺上還有大量正常用戶在使用直播。因此在異常初現(xiàn)端倪時，平臺往往會選擇先維持直播可用，再逐步清理風(fēng)險內(nèi)容。當(dāng)異常規(guī)模遠(yuǎn)超預(yù)期，平臺最終“關(guān)停直播”，是通過犧牲可用性，換取整體風(fēng)險可控。在直播暫停期間，安全團(tuán)隊、風(fēng)控團(tuán)隊、運維團(tuán)隊會集中進(jìn)行溯源、識別與清理異常賬號，只有在風(fēng)險被壓降后，業(yè)務(wù)才重新開放。

“對此次事件的話，平臺肯定也是想優(yōu)先保證直播業(yè)務(wù)不中斷，再一條條去審核判罰，但是也沒想到這個事件是一次針對性的大規(guī)模集中式攻擊?！眳茄卤笳f。

黑灰產(chǎn)攻擊，由暗到明

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）監(jiān)測發(fā)現(xiàn)，2024年境外APT組織對我重要單位實施網(wǎng)絡(luò)攻擊事件超過600起，涉及多家黨政機(jī)關(guān)、高校和科研院所、重要行業(yè)企事業(yè)單位等。惡意軟件數(shù)量持續(xù)增長，日均傳播次數(shù)約349萬余次，“銀狐”、“BlackMoon”等僵尸網(wǎng)絡(luò)傳播活躍，針對我國互聯(lián)網(wǎng)用戶進(jìn)行大規(guī)模釣魚攻擊和網(wǎng)絡(luò)詐騙活動。勒索軟件攻擊呈現(xiàn)高度專業(yè)化和多元化特點，全年新增勒索軟件團(tuán)伙超過40個，已公開披露的勒索軟件攻擊事件超過5700起。

在公告中，快手將此次事故歸結(jié)為“黑灰產(chǎn)攻擊”。

盡管對網(wǎng)絡(luò)攻擊事件定性，有待進(jìn)一步調(diào)查結(jié)論，但行業(yè)內(nèi)的推測多認(rèn)為符合“黑灰產(chǎn)攻擊”的特點。

過去，黑灰產(chǎn)多在暗處活動，而從業(yè)10多年，朱傳江也從未聽聞如此高調(diào)的攻擊行動，“正常來說都不會這么明目張膽”。

黑產(chǎn)，就是明確違法的產(chǎn)業(yè)；灰產(chǎn)，則游走在法律邊緣，打擦邊球，很多時候在境外運作，規(guī)避監(jiān)管。而朱傳江說，黑灰產(chǎn)攻擊通常伴隨著勒索牟利、商業(yè)競爭、技術(shù)炫耀，甚至不排除更高層面的對抗。

圖源：pexels

但在這次事件中，攻擊者并未直接顯現(xiàn)出清晰的獲利路徑，這也讓外界對其動機(jī)產(chǎn)生疑問。

快手事件中，有傳言稱“違規(guī)直播間中隱藏著病毒鏈接，許多用戶點入后，微信賬號即被盜取，不法分子隨即向賬號好友發(fā)送借款請求，實施詐騙”。但12月23日，微信發(fā)文辟謠：“經(jīng)核實，上述信息不屬實。微信賬號有嚴(yán)格的安全保護(hù)機(jī)制，截至目前，我們沒有發(fā)現(xiàn)相關(guān)問題和收到類似反饋?！?/p>

“黑客攻擊某個系統(tǒng)，每一步行動肯定是帶有目標(biāo)的，但它播放涉黃內(nèi)容的目的是什么？也沒看出來攻擊者到底想干嘛，或者得到了什么？”吳崖斌說。

事件發(fā)生后，奇安信集團(tuán)威脅情報中心負(fù)責(zé)人汪列軍曾發(fā)文提醒如今的網(wǎng)絡(luò)安全現(xiàn)實：此次攻擊之所以能造成大規(guī)模破壞，核心原因在于黑灰產(chǎn)已全面邁入 “自動化攻擊” 時代。黑客借助自動化工具批量注冊、操控僵尸號，實現(xiàn)違規(guī)內(nèi)容的秒級發(fā)布與擴(kuò)散。

《黑客軍團(tuán)》劇照

近年來，針對國內(nèi)的網(wǎng)絡(luò)安全攻擊事件，屢見報端。

奇安信《網(wǎng)絡(luò)安全威脅 2024 年度報告》稱：攻擊者積極挖掘新攻擊面并更新技戰(zhàn)術(shù)，攻擊者利用AI生成內(nèi)容、快速開發(fā)漏洞利用代碼，攻擊門檻持續(xù)降低，而防御成本不斷上升?！氨M管有些威脅組織我們清楚攻擊者的目的和所在地區(qū)，但目前無法歸屬到背后具體的攻擊實體。”

技術(shù)與管理

事故發(fā)生后，有聲音質(zhì)疑：市值數(shù)千億的平臺，安全防護(hù)為何如此“脆弱”？

“其實這話也有失偏頗。”吳崖斌認(rèn)為，“這個中間存在一個‘幸存者偏差’，突破防守了，大家都知道了，但安全團(tuán)隊攔住的攻擊，一般用戶和非行業(yè)人士是不清楚情況的。”此次事件暴露的，更多是應(yīng)急響應(yīng)和極端場景下的短板，而非平臺基礎(chǔ)安全能力全面失效。

事件讓我們看到另一組矛盾：網(wǎng)絡(luò)技術(shù)越來越發(fā)達(dá)了，為什么網(wǎng)絡(luò)安全事件卻層出不窮，影響力越來越大？

“網(wǎng)絡(luò)安全其實是攻和防兩股勢力在對抗，在對抗中，雙方的技術(shù)水平都在不斷提升，道高一尺，魔高一丈，只要有利可圖，那么就有一部分黑客投身黑產(chǎn)?！眳茄卤笳f。

圖源：圖蟲·創(chuàng)意

奇安信在《網(wǎng)絡(luò)安全威脅2024年度報告》中有更具體的表述：安全攻防是攻擊者與廠商安全研究人員的較量，每當(dāng)一個攻擊面被封堵，攻擊者就需要尋求新的攻擊面。2024年一個顯著的特征便是，攻擊者對于新攻擊面的挖掘……攻擊者都在嘗試從以往防御較弱甚至是無設(shè)防的角度發(fā)起攻擊，新攻擊面的投入成本可能會更低，而防御者發(fā)現(xiàn)問題的時間則大幅度增加。

隨著攻擊手段升級，安全已不再是“裝幾道防火墻”就能解決的問題，而是一項系統(tǒng)工程?！澳阋W(wǎng)絡(luò)，要懂計算機(jī)、操作系統(tǒng)、數(shù)據(jù)庫，還要懂密碼學(xué)和法學(xué)……”吳崖斌說，“是一個高度交叉的領(lǐng)域?！?/p>

這也意味著，網(wǎng)絡(luò)安全的短板往往不只出現(xiàn)在技術(shù)層面。

技術(shù)似乎無遠(yuǎn)弗屆，但它并非無所不能?！凹兛考夹g(shù)手段想徹底‘打穿’頭部平臺，其實不是那么容易的，基本上可能性很小?！眳茄卤笳f，許多攻擊之所以最終造成破壞，是技術(shù)威力、管理漏洞的疊加。

在安全行業(yè)內(nèi)部有這樣一句警言：“網(wǎng)絡(luò)安全，三分靠技術(shù)，七分靠管理?！?/p>

這里的“管理”，既包括權(quán)限控制、流程設(shè)計、應(yīng)急預(yù)案，也包括人員制度、內(nèi)部協(xié)同與日常演練。一旦其中任何一環(huán)存在松動，再強(qiáng)的技術(shù)體系，也可能在高壓場景下暴露出裂縫。

這種“技術(shù)+管理”的邏輯，同樣適用于普通用戶的日常安全防范。日常沖浪中，被惡意濫用的技術(shù)或許伺機(jī)而動，但對個人而言，最基礎(chǔ)的管理行為——避免點擊可疑鏈接、不隨意泄露驗證碼、謹(jǐn)慎使用公共網(wǎng)絡(luò)，仍是成本最低且有效的防線。

與此同時，平臺與數(shù)據(jù)管理者顯然承擔(dān)著更大的責(zé)任。

對普通用戶而言，我們無法理解后臺復(fù)雜的攻防機(jī)制，但有理由期待平臺運營者、涉公數(shù)據(jù)庫的管理者提供穩(wěn)定、可靠、可被信任的安全保障和服務(wù)體驗，加固安全防線和堡壘。

作者 |施晶晶

編輯 |向現(xiàn)

值班主編 | 吳擎

排版 | 阿車